Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→HTTPS не значит «безопасность»

HTTPS не значит «безопасность»

Многие думают, что HTTPS-соединение означает, что сайт безопасный. На самом деле его все чаще используют зловредные, особенно фишинговые сайты.

Когда вы в адресной строке браузера слева от адреса сайта видите изображение зеленого замочка и надпись «Защищено» или же название компании, на которое можно кликнуть и увидеть надпись «сайт использует защищенное соединение», а ссылка на сайт начинается с букв «https» — это повышает ваше доверие к сайту, не правда ли? Сейчас все больше и больше сайтов переходят на HTTPS, более того — у сайтов просто не остается выбора, делать это или нет. Казалось бы: ну и прекрасно! Чем больше защищенных сайтов в Интернете — тем лучше!

Но мы сейчас скажем вам то, о чем вы, возможно, не подозревали: все эти символы «защищенности» не гарантируют, что сайт не несет угрозу, например, фишинга. Как так, что они на самом деле значат и что же тогда делать — давайте разбираться.

Что вообще такое HTTPS и что значит зеленый замочек

Когда кто-нибудь из нас заходит на какой-нибудь сайт в Интернете, просто читает его или вводит на нем какие-то данные, происходит обмен информацией между нашим компьютером и сервером, на котором размещен сайт. Происходит он в соответствии с протоколом передачи данных — набором соглашений, определяющих порядок обмена информацией между разными программами.

Протокол, который используется для передачи данных в сети и получения информации с сайтов, называется HTTP (от англ. HyperText Transfer Protocol — протокол передачи гипертекста). У него существует расширение, которое называется HTTPS (от англ. HyperText Transfer Protocol Secure — безопасный протокол передачи гипертекста). Его суть заключается в том, что расширение позволяет передавать информацию между клиентом и сервером в зашифрованном виде. То есть информация, которой обмениваются клиент и сервер, доступна только этому клиенту и этому серверу, а не третьим лицам (например, провайдеру или администратору Wi-Fi-сети).

Шифрование данных, которые передаются от клиента к серверу, происходит в соответствии с протоколом под названием SSL или его более поздней версией, которая называется TLS. Для того чтобы использовать это шифрование, у сайта должен быть специальный сертификат, или, как он еще называется, цифровая подпись. Зеленый замочек и надпись «Защищено» или название компании в адресной строке и являются индикатором того, что у сайта такой сертификат есть и что данные, которые пользователь передает на сайт и получает от него, зашифрованы.

Все на HTTPS!

Компании, предоставляющие пользователям браузеры-клиенты — Google, Mozilla и другие, — активно выступают за безопасный обмен данными в Интернете. Поэтому Google этой осенью, выпустив новую версию Chrome, фактически вынудила все сайты переходить на HTTPS, предупредив, что отныне все страницы, у которых еще нет сертификата, будут маркироваться в браузере как «незащищенные». В результате число сайтов, которые приобретают сертификаты, начало стремительно расти. Так, по статистике Mozilla, в позапрошлом году они были всего у 45% страниц, загружаемых Firefox, а в прошлом — уже у 65%.

Сертификаты бывают разные

У сайтов есть два способа получить сертификат.

Первый (и единственный правильный) — приобрести сертификат, подписанный каким-либо из доверенных центров сертификации (Certificate authority). Сертификационные центры изучают документы владельца сайта и его право на владение доменом — ведь, по идее, наличие сертификата должно также гарантировать пользователю, что ресурс, с которым он обменивается информацией, принадлежит реальной легитимной компании, зарегистрированной в определенном регионе.

Есть и второй способ — сертификат можно издать и подписать самостоятельно, сгенерировав криптографические ключи. В этом случае соединение с сайтом также будет зашифровано, но при попытке зайти на сайт с таким сертификатом пользователю будет показано предупреждение, что сертификат — недоверенный. А доверие к сертификату основывается на надежности и репутации выдавшего его сертификационного центра.

Из-за политики Google все большему количеству сайтов нужен доверенный сертификат. И вот здесь начинаются проблемы. Сайтов все больше, времени на их проверку у сертификационных центров (даже авторитетных, хоть их и можно перечесть по пальцам) все меньше, и она все менее тщательна. К каким последствиям это приводит?

Безопасное соединение не значит безопасный сайт

А к таким, что центры выдают сертификаты, видя лишь формальные признаки соответствия требованиям. Например, что это вроде бы нормальная компания, зарегистрированная в таком-то регионе, и домен соответствует ее названию. И такие требования вполне может соблюсти сайт, на самом деле никакого отношения к легальной деятельности не имеющий — например, фишинговый.

По данным Phishlabs, сейчас уже четверть всех фишинговых атак осуществляется на HTTPS-сайтах (а еще два года назад было менее одного процента). Невнимательность сертификационных центров — настоящая находка для злоумышленников: более 80% пользователей считают, что зеленый замочек и надпись «Защищено», которыми сопровождается HTTPS-соединение в браузерной строке, означают, что сайт безопасный, а значит, у них меньше сомнений, вводить на таком сайте свои данные или нет.

Google и Mozilla уже планируют ужесточить верификацию сертификатов в своих браузерах и тем самым повлиять на требования к их выдаче, вплоть до того, чтобы перестать считать доверенными все сертификаты, выданные одним известным центром — потому что, по результатам расследования Google, этот центр выдал более 30 тыс. сертификатов, не осуществив при этом должной проверки сайтов. Но это пока только планы, а людям нужно уже сейчас как-то не попасться на удочку мошенников, прикрывающихся мнимой «защищенностью».

Что нужно помнить, чтобы не попасться на удочку

Наличие cертификата и индикаторов в виде зеленого замочка и надписи «Защищено» означает лишь то, что данные, передаваемые между вами и сайтом, шифруются, а также то, что сертификат выдан доверенным сертификационным центром. При этом HTTPS-сайт вполне может оказаться зловредным — особенно удачно манипулируют этим мошенники, промышляющие фишингом.

Поэтому всегда будьте осторожны, каким бы надежным сам сайт ни показался вам на первый взгляд. Никогда не вводите ваши логины, пароли, банковские и другие личные данные на сайте, пока окончательно не удостоверитесь в его подлинности. Для этого всегда проверяйте доменное имя (обязательно очень внимательно, имя сайта мошенников может отличаться всего на один символ!) и переходите только по надежным ссылкам. Всегда спрашивайте себя, зачем вам регистрация на том или ином сайте, что он предлагает, не выглядит ли подозрительно. И не забывайте о хорошей защите своих устройств: Kaspersky Internet Security сверит адрес страницы с теми, что хранятся в обширной базе данных фишинговых сайтов, и обнаружит мошенников независимо от того, насколько «надежным» выглядит ресурс.


Источник: Лаборатория Касперского

15.01.2018